Archiv der Kategorie: Regierungsviertel

Politik

#GaiaXFakten

Gaia-X soll der Chuck Norris unter den Clouds – nein, das passt nicht, zu wenig europäische Werte. Gaia-X soll die Abteilung für Informationswiederbeschaffung unter den Clouds werden, der Goldstandard, die digitale Mondrakete. Wäre Elon Musk Europäer, hätte er statt eines Tesla Gaia-X ins All geschossen. Gaia-X war einziger Teilnehmer eines Wettbewerbs der Agentur für Sprunginnovation und schloss diesen mit einem überdurchschnittlichen Ergebnis ab. Gaia-X heilt Krebs. Chatbots werden mit Gaia-X zu geistreichen Gesprächspartnern. Gaia-X wird alle Versionen des Trolley-Problems in einem Tweet lösen. Gaia-X transzendiert Raum, Zeit, Rechenzentren und Unternehmen. Gaia-X läuft nicht in der Cloud, sondern die Cloud läuft in Gaia-X. Gaia-X braucht kein Geschäftsmodell, sondern Geschäftsmodelle brauchen Gaia-X. Amazon kauft bei Gaia-X ein. Uber lässt sich von Gaia-X ein Taxi rufen. Gaia-X sitzt in den Aufsichtsräten aller europäischen Internet-Konzerne. Mit Gaia-X wird Deutschland E-Government-Weltmeister. Die Büros von Gaia-X arbeiten papierlos. Gaia-X hatte seine Corona-App schon vor der Schweinegrippe fertig. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder empfiehlt Videokonferenzen per Gaia-X als Alternative zur Briefpost.

PS (2020-06-11): Die Fortsetzung gibt’s häppchenweise bei Twitter.

Querdenken statt Angst: Unser Rhetorik- und Folklore-GAU

Waren wir die Avantgarde, wir, die Hacker, die Nerds, die Netzaktivisten, die Piraten?

Zurzeit gehen Menschen auf die Straße, die sich Querdenker nennen und für besonders klug halten, die hinter jeder Gesichtsmaske den autoritären Staat lauern sehen, Politikern die Kompetenz absprechen, Verschwörungstheorien nicht besonders kritisch gegenüberstehen und die Bill Gates für eine Inkarnation des Satans halten. Woher haben sie das nur? Ist das Internet schuld mit seinen kommerziellen Plattformen, werden sie von fiesen Nazis aufgehetzt oder sind sie einfach blöd?

Einige ihrer Methoden könnten sie von uns haben. Von uns, die wir uns als Nerds immer für etwas schlauer als alle anderen halten, ganz besonders als alle Politiker. Uns, die wir mehr zu durchschauen glauben als andere, gerne auch mal in Form einer kleinen Verschwörungstheorie. Uns, die wir als digitalcouragierte Aktivisten hinter jeder Videokamera, jedem Polizeigesetz und jeder Urheberrechtsreform den autoritären Staat lauern sehen und unter dem Motto „Freiheit statt Angst“ gegen neue Einsatzmittel der Exekutive protestieren als stünden Recht und Demokratie kurz vor der Abschaffung. Uns, die bei jedem Datenschutzproblem und jedem staatlichen Digitalprojekt gleich von Grundrechten reden. Uns, die wir als Digitalveganer Sicherheitsmaßnahmen empfehlen als seien Geheimdienste hinter jedem Einzelnen persönlich her. Uns, die wir Microsoft und Bill Gates schon seit Jahrzehnten doof finden und uns lieber mit Linux quälen, Hauptsache anders. Von uns, die wir eines Tages dem Größenwahn verfielen und eine inzwischen beinahe wieder verschwundene Partei gründeten, um in der ganz großen Politik mitzumischen.

Querdenker wollen wir sein, Freiheitskämpfer, Topchecker und so wichtig, dass man uns verfolgt. Zu unserer Selbstbestätigung haben wir eine reichhaltige rhetorische Folklore geschaffen und gepflegt, aber selten hinterfragt. Nun schallt uns ein Echo dieser Folklore von der Straße entgegen, doch sind es nicht wir, die dort stehen, sondern andere, mit seltsamen Ideen und fragwürdigen Zielen. Wir selbst sind stolz darauf, für den Fall der Fälle keine Datenspuren zu hinterlassen, doch haben wir kollektiv ein Waffenarsenal der Öffentlichkeitsarbeit entwickelt und getreu dem Open-Source-Gedanken allen zur Verfügung gestellt. In dessen Mittelpunkt steht die Selbstinszenierung als Freiheitskämpfer, obwohl viele von uns nie etwas anderes erlebt haben als einen demokratischen Rechtsstaat und selbst die DDR zu den gemäßigten Vertretern der weniger demokratischen Staaten zählte, was sich nicht zuletzt in der Gewaltlosigkeit ihres Ablebens äußerte. Nun beobachten wir entsetzt, wie sich andere unseres Arsenals bedienen und ihrerseits ohne sachliche Grundlage Freiheitskämpfer spielen.

 

PS (2020-05-19): Stefan Laurin von den Ruhrbaronen ordnet die Proteste in den größeren Kontext unserer seit einem halben Jahrhundert sehr skeptischen Sicht auf Technik insgesamt ein: Hygiene-Demos: Querfront gegen den Westen, Technik und Aufklärung. Das ist in etwa dieselbe Perspektive, aus der ich Macken und Meme des Datenschutzes zu erklären versuche.

PS (2020-05-24): Der Deutschlandfunk liefert noch ein passendes Foto. Darauf zu sehen ist ein Demonstrant, der ein Schild mit der Aufschrift „COVID-1984“ trägt. Unterdessen redet Fefe gleich von „anhaltsloser Massenüberwachung“, nur weil Lieblingsfeind Wolfgang „Stasi 2.0“ Schäuble das Elend um die Corona-App kritisiert.

PS (2020-05-29): Die Guten™ unter den Verschwörungstheoretikern sind wieder ganz in ihrem Element: „Amazon greift nach Grundrechten“, zitiert die Taz einen Aktivisten, der den Cloudkonzern Amazon aus Berlin herausmobben möchte.

PS (2020-08-30): Ein Bericht der NZZ aus Berlin passt ins Bild.

Sündenböcke

Dass die Debatte um eine Corona-App zur Kontaktverfolgung entgleist ist, wird niemandem entgangen sein. Los ging es, als von einer App noch gar nicht die Rede war, mit dem Vorschlag, „irgendwas mit Händiortung zu machen“ und einer vorsorglichen Erlaubnis, die es dann doch nicht ins IfSG schaffte. Kurz darauf traten DP-3T und PEPP-PT auf den Plan, setzten den Fokus auf das Nebenthema Datenschutz unter Meidung einer sauberen Anforderungsanalyse und zerstritten sich über der Frage, welche Funktionen zentral und welche dezentral ablaufen sollten. Während dieser Streit weite Kreise zog, widmete die Öffentlichkeit den grundlegenden Problemen des Vorhabens und der lückenhaften Entwurfsarbeit wenig Aufmerksamkeit. Ein vorläufiges Ende setzte dieser wenig produktiven Diskussion die Bundesregierung mit ihrer Entscheidung, von SAP und der Telekom eine App auf der Grundlage von Gapples angekündigter Lösungsplattform entwickeln zu lassen, und sich schwierigeren Themen wie dem Immunitätspass zuzuwenden.

In einem Kommentar auf FAZ.NET macht Morten Freidel nun alleine „die Hacker“ für die Debatte und ihr Ergebnis verantwortlich. So sehr ich seinen Eindruck teile, dass organisierte Nerds etwa in Gestalt des CCC Expertentum und Aktivismus vermischen, ihr Auftreten in dieser Debatte keine Glanzleistung darstellt und ihre ewiggleichen Forderungen und Mahnungen manchmal mehr schaden als nützen, muss ich die Nerdaktivisten doch gegen den Vorwurf in Schutz nehmen, sie trügen die Hauptschuld am kommunikativen Desaster um die Corona-App.

Versagt hat zuerst die Bundesregierung. Sie hätte sich rechtzeitig Gedanken machen und einen Plan vorlegen sollen, ob und wie digitale Lösungen die Seuchenbekämpfung unterstützen sollen. Immerhin sitzt im Kanzleramt eine Staatsministerin für Digitalisierung, die jedoch wenig von sich hören lässt, seit Millionen Deutsche in ihren Heimbüros auf das Internet angewiesen sind. Stattdessen trieb die Öffentlichkeitsarbeit des PEPP-Konsortiums eine Zeitlang neben den Aktivisten auch die Bundesregierung vor sich her. Politisches Geschick zeigte die Regierung erst, als sie PEPP-PT seinen einzigen Claim vom Vertrauen durch technischen Datenschutz aus der Hand riss, gegen die Freischärler wandte und nebenbei noch die Entscheidung für Gapple und gegen eine eigene technische Basis ohne jeden Widerspruch durchsetzte.

Dass vorher aus PEPP-PT heraus ein Richtungsstreit „zentral vs. dezentral“ eskaliert war, ist ebenfalls nicht zuerst Nerdaktivisten anzulasten. Dieser Streit geriet in die Öffentlichkeit, als dreihundert Wissenschaftler in einem offenen Brief Partei ergriffen für eine forschungsnahe Technologieentwicklung („dezentral“) und gegen einen undogmatischen, zielorientierten Entwicklungsprozess*. Zu welchen Anteilen dieser offene Brief durch ehrliche Bedenken, auf die Gruppendynamik eines stabilen Beziehungsnetzes oder auf gekränkten Narzissmus zurückgeht, wissen nur die Akteure. Festzuhalten bleibt: 300 Wissenschaftler haben mit ihrer lautstarken Äußerung die falsche Dichotomie „zentral vs. dezentral“ gestärkt, offensichtliche Schwächen in der Anforderungsanalyse und im Entwurfsprozess hingegen übersehen und sich dann einen schlanken Fuß gemacht.

Einen schlanken Fuß macht sich auch die Bundesregierung, was gesetzliche Regelungen für die Kontaktverfolgung angeht. Kein Vorschlag liegt auf dem Tisch und man hat wohl auch nicht vor, dieses Thema in Zukunft zu regeln. Dabei hätte ein vertrauensbildender Regelungsvorschlag als Gegenpol zur technikfixierten PR von PEPP-PT einen weit konstruktiveren Beitrag zur Debatte geleistet als die letztendliche Richtungsentscheidung um ein technisches Detail.

Auf den engen datenschutztechnischen Fokus der Debatte eingestiegen zu sein und keine Ausweitung auf eine Gesamtsicht gefordert zu haben, mag man vielen Nerds vorwerfen. Historisch gesehen hat die Hacker- und Nerdaktivistenszene gewiss auch einen Anteil daran, dass Datenschutz inzwischen wichtiger scheint als Konzept und Funktion eines Systems. Die Verantwortung für das Scheitern der Corona-App-Debatte jedoch liegt primär bei anderen, bei PEPP-PT, bei der Bundesregierung und bei den eingeschnappten Professoren.

*) Ich spekuliere, da ich PEPP-PT nur aus den Nachrichten kenne. Auf mich wirkte es jedoch so, als habe man dort entwickelt und dabei gelernt; ich sehe gute Gründe, auf „dezentralen“ Extremismus zu verzichten.

Echte Corona-App: SORMAS

Wie sehr sich das digitalpolitische Berlin mit seiner Debatteninszenierung um eine „zentrale“ oder „dezentrale“ App zur Kontaktverfolgung blamiert hat, macht eine existierende Lösung deutlich:

Das Surveillance Outbreak Response Management & Analysis System (SORMAS) aus dem Helmholtz‐Zentrum für Infektionsforschung (HZI) unterstützt Gesundheitsdienste beim Kontaktpersonen- und Fallmanagement. Es ist ausgelegt auf die Nutzung mit mobilen Geräten auch in Ländern mit schwacher Infrastruktur, das heißt vielen Funklöchern.

SORMAS hat mehr als fünf Jahre Entwicklungsarbeit und Einsatzerfahrung hinter sich. Die Lösung wurde unter anderem in der Bekämpfung von Ebola-Ausbrücken erfolgreich eingesetzt und ist mittlerweile in mehreren afrikanischen Ländern dauerhaft im Einsatz.

SORMAS steht bereits seit Anfang März auch in einer eingedeutschten und an Covid-19 angepassten Version zur Verfügung. Die Open-Source-Software kann von allen Gesundheitsdiensten kostenfrei genutzt werden.

Keiner der Spezialexperten, die sich in den vergangenen Wochen die automatisierte Kontaktverfolgung zum Thema der Stunde erklärt und sich zum Randaspekt Datenschutz öffentlich einen runtergeholt haben, hat SORMAS je erwähnt. Ich schließe mich da ein, ich hatte es auch nicht auf dem Radar und bin erst heute in einer LinkedIn-Diskussion darauf gestoßen.


PS: In Berlin wird SORMAS seit einigen Tagen eingesetzt.

Aufs Glatteis geführt

Seit Mitternacht schweigen nun an einer Front die Waffen: Die Bundesregierung kapituliert bedingungslos vor dem Aufschrei einiger Datenschutztechnikexperten und entscheidet sich für eine dezentrale Architektur zur Kontaktverfolgung. Nur dies schaffe das nötige Vertrauen, lässt sich Kanzleramtsminister Braun zitieren. Inwieweit sich damit die Anforderungen der Praxis erfüllen lassen, bleibt unterdessen unklar, denn mit solchen Fragen hat sich offenbar niemand beschäftigt. Die Regierung hat sich in Sachen Digitalisierung wieder einmal aufs Glatteis führen lassen. Das Projekt Corona-App wird voraussichtlich die Misserfolgsgeschichten der Gesundheitstelematik, des elektronischen Personalausweises und der Blockchain-Strategie fortsetzen. Das liegt nicht an der Technik, sondern an mangelnder Kompetenz in der Technikgestaltung.

Begonnen hatte alles vor einigen Wochen mit den öffentlichen Auftritten von DP-3T und PEPP-PT, anfangs noch in einer Allianz und scheinbar am gleichen Strang ziehend. Damit begann eine von Anfang an verzerrte Debatte über „die Corona-App“. Zum einen stand unvermittelt ein spezifischer Ansatz im Raum, nämlich die automatisierte Kontaktverfolgung und Benachrichtigung von Kontaktpersonen. Sinnhaftigkeit, Erfolgsaussichten und Erfolgsbedingungen dieses Ansatzes sowie andere Wege der digitalen Seuchenbekämpfung wurden kaum diskutiert; alle wollten an unsere wundersame Rettung durch Technomagie glauben. Nur ein Kritikpunkt ließ sich nicht umschiffen: Die automatisierte Kontaktverfolgung würde nur funktionieren, wenn fast alle mitmachten. Ausgerechnet Datenschützer mit ihrem Faible für Selbstbestimmung wiesen früh darauf hin, dass dies bei freiwilliger Nutzung unrealistisch sei, ohne deswegen freilich einen Zwang zu fordern. Ein kleinerer Zweig der Debatte dreht sich daher um die Frage der Freiwilligkeit.

Den Schwerpunkt hingegen setzte PEPP-PT selbst: In Voraussicht auf typisch deutsche Technikkritik und den Hang einiger Akteure, die Verarbeitung personenbezogener Daten für eine Risikotechnologie mit nuklearem Gefahrenpotenzial zu erklären, rückte man statt des Anwendungsentwurfs den technischen Datenschutz in den Mittelpunkt seiner Selbstdarstellung. Wie und wie gut der eigene Ansatz funktionieren würde, wusste man bestenfalls ungefähr, was ist in frühen Phasen der Entwicklung auch völlig normal und unvermeidlich ist. Jedoch werde die eigene Lösung auf jeden Fall perfekte technische Datenschutzvorkehrungen umfassen, denn nur so sei bei den Bürgerinnen und Bürgern das nötige Vertrauen zu gewinnen. Dass Kanzleramtsminister Braun dem Projekt PEPP-PT später mit genau diesen Worten den Todesstoß versetzen würde, war da noch nicht absehbar – dass jemand auf dem Holzweg war, hingegen schon. Im weiteren Verlauf der Entwicklungsarbeit, die immer auch ein Lernprozess ist, musste man sich anscheinend von diesem anfänglichen Extremismus verabschieden, auch dies nicht ungewöhnlich.

Unterwegs gingen zwei Dinge schief. Erstens hatte man sich den Weg zu einer offenen Anforderungsanalyse verbaut, denn alles musste sich nun dem Datenschutz-Ideal unterordnen. Mit den Gesundheitsämtern vor Ort zum Beispiel redete – anders die Entwickler von TraceTogether in Singapur oder vermutlich auch jene der südkoreanischen Lösung – anscheinend niemand und so macht der Deutsche Landkreistag seine Vorstellungen in einem Brief an den Gesundheitsminister und das Kanzleramt geltend (paywalled).  Statt einem Weg, anonyme und folgenlose Nachrichten in den Cyberspace zu rufen, hätte man dort gerne Namen und Orte. Ob das es am Ende so umgesetzt werden sollte, sei dahingestellt; auf jeden Fall stecken hinter solchen Forderungen Bedürfnisse, die ein Entwicklungsprojekt erfassen und berücksichtigen muss. Vermutlich hat PEPP-PT so etwas sogar versucht oder einfach unterwegs das Problem besser verstanden, doch von dem öffentlich eingeschlagenen Pflock „perfekter technischer Datenschutz“ kam man nicht mehr los.

Zweitens verselbständigte sich die Datenschutzdiskussion und wandelte sich schnell zu einer Glaubensfrage. Zwar lagen zumindest der Öffentlichkeit weiter nur vage Ideen einer App zur Kontaktverfolgung vor, die irgendwo vom Himmel gefallen waren, doch statt über grundlegende konzeptionelle Fragen zu reden, positionierten sich alsbald allerlei Personen und Einrichtungen in einem der Lager „zentral“ oder „dezentral“. Teils handelte es sich um ehrliche, aber überfokussierte Eiferer wie den CCC, teils waren wohl auch handfeste Interessen im Spiel wie bei den Professoren, die sich nach der Abkehr vom Forschungsprototypen DP-3T ihrer Bedeutung beraubt sahen. Obendrein mischten sich auch noch Google und Apple, trotz interessanter technischer Ansätze als Plattformanbieter Inbegriffe der Zentralisierung, mit eigenen Angeboten ein und weckten teils Vertrauen in ihre Fähigkeiten, teils aber auch antiamerikanische Instinkte.

Schnell schoss sich die Szene medienöffentlich auf die Forderung nach einem dezentralen Ansatz ein,  während dagegen sprechende Anforderungen nur langsam zu Tage treten. Unterdessen hielt die Bundesregierung ihre Füße still und ließ der Debatte freien Lauf, ohne selbst etwas beizutragen. Sie zweifelte nie an der unbelegten These von der Vertrauen durch Datenschutztechnik und verzichtet bis heute darauf, öffentlich die rechtlichen und organisatorischen Rahmenbedingungen für den Einsatz einer Corona-App zu klären. Dabei ist die kritiklos übernommenen Ursprungsidee nicht einmal plausibel, denn zum einen versteht kaum jemand die technischen Details, zum anderen zeigen die (wahrscheinlich zu Recht) ungehört verhallenden Mahnungen der Datenschützer vor massenhaft genutzten Diensten wie Google, Facebook, WhatsApp oder aktuell Zoom, dass Vertrauen gerade nicht durch den Segen von Datenschützern und Aktivisten entsteht.

Statt das Ihre zur Vertrauensbildung zu tun, ergibt sich die Bundesregierung nun einer überschaubaren öffentlichen Erregung und schließt sich der Forderung nach (scheinbar) perfektem Datenschutz an, während eine Debatte über Anforderungen und Anwendungsentwürfe weiter unterbleibt. Damit tritt das Projekt Corona-App in die Fußstapfen wenig erfolgreicher Vorgänger. Die Gesundheitstelematik – ihr Konzept inzwischen so altbacken wie die Bezeichnung – sollte das Gesundheitswesen vernetzen und dabei Gesundheitsdaten perfekt kryptografisch vor unbefugtem Zugriff schützen. Nach fünfzehn Jahren Entwicklungszeit ist kaum mehr herausgekommen als ein VPN sowie ein Stammdatendienst. Wenig später sollte der elektronische Personalausweis allen Bürgerinnen und Bürgern einen Identitätsnachweis fürs Internet verschaffen. Seine Datenschutzmechanismen sind nahezu perfekt, doch da man Anwenderbedürfnisse ignoriert und das Konzept über die vergangenen zehn Jahre auch kaum weiterentwickelt hat, benutzt fast niemand die eID-Funktion. Bei der Blockchain schließlich ging es zwar nicht um Datenschutz doch auch hier stand eine Technik im Mittelpunkt, von der man Wunderbares erwartete. Diesen Glauben ließ man sich in Berlin nicht von geringer Plausibilität der Anwendungsideen erschüttern. Darüber hinaus brachten die Blockchain-Evangelisten das Schlagwort „dezentral“ ins Spiel und verkauften es unbegründet als Qualitätsmerkmal. Sollte hier die wahre Wurzel der Entscheidung liegen?

Am Beispiel der Corona-App zur Kontaktverfolgung zeigt Deutschland erneut, wie es an politisch belasteten Digitalprojekten scheitert. Mit Ruhm bekleckert hat sich keiner der Beteiligten. An entscheidenden Stellen mangelt es an Kompetenz, hinzu kommen Meme aus der EDV-Steinzeit, die sich niemand zu beerdigen traut. So wird das nichts. Dass es wieder etwas länger dauern wird, steht schon mal fest.


PS: Ich frage mich auch, ob eine Projektstruktur tragfähig ist, in der technische Entscheidungen nach politischer Wetterlage von Ministern getroffen werden, wobei der Gesundheitsminister hü sagt und das Kanzleramt wenig später hott. Ich frage mich außerdem, wieso die Gematik als Projektgesellschaft für die Digitalisierung des Gesundheitswesens in der ganzen Diskussion nicht einmal vorkommt. Eigentlich sollte sie prädestiniert sein, ein Vorhaben wie die Corona-App voranzutreiben und umzusetzen. Tatsächlich ist sie es wohl nicht.

PS (2020-04-28): Seit heute gibt es zumindest eine Projektstruktur, von deren Tragfähigkeit allerdings nicht alle restlos überzeugt sind.

Denkanstöße zu 5G und Huawei

Seit einiger Zeit tobt ein Streit um die Frage, ob der chinesische Konzern Huawei Ausrüstung für die im Aufbau befindlichen deutschen 5G-Netze liefern dürfen soll. Kritiker argumentieren, Huawei sei von der chinesischen Regierung abhängig und deshalb kein vertrauenswürdiger Lieferant. Kauften unsere Netzbetreiber bei Huawei, seien wir China ausgeliefert, da helfe keine Technik und kein Sicherheitsmanagement. Befürworter hingegen halten die Risiken für beherrschbar.

Die Diskussion krankt daran, dass sie in der Öffentlichkeit vorwiegend auf PR-Niveau geführt wird statt mit handfesten Argumenten. Echte Risikobetrachtungen liest man kaum, stattdessen bleiben die vorgetragenen Bedenken und Argumente ätherisch. Als Beispiel lesen man etwa das Papier Germany’s Preliminary 5G Decision:
Limiting Damage and Learning Lessons der DGAP: Dort fehlt jede nachvollziehbare Risikoeinschätzung und die Autoren fordern, die Entscheidung über den Einsatz nicht  Leuten mit Ahnung von der Materie wie dem BSI , sondern der Politik zu überlassen. So würde man wohl auch argumentieren, arbeitete man als PR-Agentur für einen von Huaweis Konkurrenten.

Aus Sicht des Sicherheits- und Risikomanagements stellt sich jedoch zuerst die Frage, welche Szenarien eigentlich gegeneinander abzuwägen sind und was man gewinnen oder verlieren kann. An einem Kommunikationsnetz interessieren uns unmittelbar seine Verfügbarkeit sowie möglicherweise die Vertraulichkeit der Kommunikation, mittelbar als Voraussetzung dafür die Integrität des Netzes und seiner Komponenten, die jeder Hersteller untergraben kann.

Am geringsten zusätzlich bedroht ist die Vertraulichkeit der übermittelten Inhalte. Dafür verlässt sich ohnehin niemand auf ein öffentliches Netz, sondern wer auf Vertraulichkeit Wert legt, muss ein Protokoll zur Ende-zu-Ende-Verschlüsselung wie z.B. TLS einsetzen. Bei korrekter Anwendung eines solchen Protokolls sind die attraktivsten Angriffe dann solche auf die Software der Endpunkte, insbesondere die Anwendungssoftware.

Ebenso bedeutsam ist, wie wir spätestens seit Snowden wissen, die Vertraulichkeit der Metadaten – wer kommuniziert wann, wo und mit wem? Hier stellen sich Fragen wie:

  • Welchen echten Vorteil brächte der direkte Durchgriff auf den Hersteller Huawei im Vergleich zu einem unabhängigen Akteur, der die Komponenten lediglich analysiert?
  • Welche Informationen könnten die Chinesen ohnehin schon unkompliziert einsammeln, solange sie uns Computer, Smartphones und IoT-Geräte liefern?
  • Inwieweit kann der praktische Betrieb Risiken kompensieren, wenn Spione nicht nur theoretisch, sondern auch praktisch an Daten herankommen müssen und es sich dabei um nennenswerte Datenmengen handelt?
  • Wo und wie würde man die relevanten Daten einsammeln, wenn man keinen besonderen Zugang zur Netztechnik hätte?

Kurz und gut, wie viel leichter hätten es die Chinesen dank Huawei als andere Mächte mit ihren Nachrichtendiensten?

Auch hinsichtlich der Verfügbarkeit stellt sich die Frage nach der Baseline, dem Ausgangsniveau. Angenommen, die Chinesen könnten unsere 5G-Netze jederzeit ausknipsen, wieviel leichter hätten sie es dann als ein anderer Akteur, der etwa Spezialeinheiten mit Sprengstoff losschickt? Die Bahn zum Beispiel hat ab und zu Probleme mit heimischen Terroristen, die aus einer politischen Motivation ganz banal Kabelschächte anzünden und damit großen Schaden anrichten. Was könnten staatlich unterstützte Kräfte zu welchem Preis mit klassischer Sabotage anrichten?

Sähe ich solche Fragen diskutiert, fiele es mir leichter, die ganze Debatte ernst zu nehmen. Alternativ könnten wir die Sicherheit in den Hintergrund rücken und einfach offen über Wirtschaftspolitik reden. Vielleicht wäre es ja aus dieser Perspektive eine gute Idee, europäischen Anbietern den Vorzug zu geben und wenn das jemand nachvollziehbar begründen könnte, hätte ich gar nichts dagegen, dass wir das dann auch tun.

Unterdessen kann sich Bill Gates in Huawei einfühlen, denn Microsoft hatte einst dasselbe Problem: „Wir wurden gefragt, ob Windows irgendwelche NSA-Dinge eingebaut hat“. Ob diese Erinnerung die aktuellen Warnungen vor Huawei glaubwürdiger macht, möge jeder für sich entscheiden.

PS: Bei einer Anhörung des Auswärtigen Ausschusses im Bundestag wiesen Experten darauf hin, dass ein funktionierender Markt und die Vermeidung einer Monokultur wichtig seien für die Sicherheit. (2019-11-11)

PPS: Den Security-Chef der Telekom wollte man lieber nicht anhören. Netzbetreiber wie die Telekom sind gegen den Ausschluss von Huawei, während der Ausschussvorsitzende Röttgen die Beteiligung von Huawei am 5G-Ausbau für schlimmer hält als einen GAU im Kernkraftwerk. (2019-11-12)

Deutsch-deutsches Missverständnis

Warum viele im Osten AfD wählen und weshalb Belehrung und Schelte sie davon nicht abbringen – eine subjektive Hypothesenbildung

Thüringen hat einen neuen Landtag gewählt und im Ergebnis scheint – geografisch ein Zufall, politisch jedoch nicht überraschend – ein Hauch Weimar durch. Gleich hinter der Linken als Wahlgewinner, dies ein Thüringer Spezifikum, kam die AfD mit einem Viertel der Wählerstimmen ins Ziel, nach Brandenburg und Sachsen vor einigen Wochen ein weiterer Erfolg für sie. Wie schon die ganzen Wahlkämpfe hindurch steht die veröffentlichte Meinung händeringend vor dem Ossi und fragt sich, wieso der einfach nicht aufhöre, rechts zu wählen, habe man ihm doch nun oft genug gesagt, dass sich das nicht gehöre und was für Halunken die gewählten seien. Warum nur höre der Ossi nicht? Liege es an seiner Erziehung in der vor dreißig Jahren untergegangenen DDR, an unverarbeiteten Kränkungen nach 1990 oder gar in seinem Blut, dass er die AfD für bürgerlich und wählbar halte, oder trage am Ende Thilo Sarrazin die Schuld an allem? Und wieso überhaupt habe ausgerechnet der Ossi etwas gegen Ausländer, gebe es doch bei ihm zu Hause gar nicht so viele davon? Müsse man am Ende gar so viele dort ansiedeln, dass er es endlich lerne?

Die AfD steht für restriktive Zuwanderungspolitik und die Zurückdrängung des Islam und wird genau deswegen gewählt. Das macht andere fassungslos. Aus ihrer Sicht ist das ein Rückfall in finstere Zeiten und sie können sich den wachsenden Zuspruch nur wahlweise mit Dummheit oder Böswilligkeit der Wählerinnen und Wähler erklären. Tatsächlich jedoch beziehen sich beide Seiten auf unterschiedliche Zuwanderungserfahrungen und Entwicklungsstände. Vielen im Westen sowie progressiven Kräften im Osten scheinen Grundsatzfragen der Zuwanderung geklärt: Deutschland habe sich über Jahrzehnte zum Einwanderungsland entwickelt und das sei auch gut so. Aus ihrer Sicht kommt jedes Rütteln daran einem Rückschritt gleich. Diese Perspektive stützt sich auf die westdeutsche Zuwanderungserfahrung von den Gastarbeitern über die Asyldebatte bis heute. Aus ostdeutscher Perspektive hingegen erscheint sichtbare Zuwanderung, zumal aus islamisch geprägten Kulturkreisen, als eine neue Entwicklung der letzten zehn Jahre mit einer dramatischen und unmotivierten Zuspitzung um das Jahr 2015. Grundverschiedene Sichten auf dasselbe Geschehen und wechselseitiges Unverständnis, welches das jeweilige Gegenüber als gefährlichen Irren erscheinen lässt, sind aus diesen unterschiedlichen Erfahrungen und Perspektiven zu erklären.

Die Trennlinie dazwischen verläuft nicht streng zwischen Ost und West, es handelt sich überhaupt eher um eine statistische Auffälligkeit denn eine scharfe Abgrenzung. Dennoch bilden die ungleichen Geschichten der Migration nach West beziehungsweise Ost den Schlüssel zum Verständnis.

Zuwanderung in den Westen:
Eine mühsame Erfolgsgeschichte

Die Wurzeln der gesamtdeutschen Migrationspolitik liegen im Westen. Der westdeutsche Weg zu Einwanderungsland begann, zunächst unbewusst und in der Konsequenz unbeabsichtigt, in den 1950er Jahren mit der Anwerbung von Gastarbeitern. Unter deren Herkunftsländern waren mit der Türkei, Marokko und Tunesien seit Anfang der 60er Jahre auch islamisch geprägte Länder. Die Vorstellung vom nur vorübergehenden Aufenthalt der Gastarbeiter musste bald der Einsicht weichen, dass viele bleiben und Familien nachholen wollten, was sie auch taten. Mit dem Anwerbestopp 1973 hörte die Zuwanderung nicht auf, sondern setzte sich mit Familiennachzug, Asylsuchenden sowie zeitweise mit Aussiedlern fort.

In den 80er Jahren mehrten sich Ängste vor „Überfremdung“  und eine heftige, lange andauernde Auseinandersetzung um die Zuwanderungspolitik der alten Bundesrepublik setzte ein. So sinnierte Anfang der 80er Jahre der frischgebackene Bundeskanzler Kohl insgeheim, der in Deutschland lebenden Türken gebe es zu viele und zu sie seien zu fremd, weshalb man ihre Zahl um die Hälfte reduzieren müsse. Wenig später legte seine Regierung mit diesem Ziel eine nur mäßig erfolgreiche Rückkehrprämie auf. Ab Mitte der 80er Jahre erstarkten die Republikaner unter Franz Schönhuber, erzielten eine Zeitlang Achtungserfolge bei Wahlen und zwangen insbesondere die Union, sich mit der richtigen Balance zwischen Öffnung und Abgrenzung am rechten Rand zu beschäftigen. Ebenfalls Mitte der 80er verkleidete sich aber auch Günter Wallraff als Türke Ali, führte den Deutschen in seiner Reportage „Ganz unten“ ihren Umgang mit den Zuwanderern vor Augen und erinnerte sie daran, was sie an „ihren“ Türken hatten: willige und billige Arbeitskräfte für besonders schmutzige oder gefährliche Tätigkeiten.

Die Asyldebatte sollte über die Vereinigung hinaus anhalten, bis sie 1993 nach einem kräftigen Anstieg der Asylbewerberzahlen mit dem Asylkompromiss zwischen CDU/CSU und SPD beendet wurde. Diese Neuregelung des Asylrechts sollte die Inanspruchnahme des Asylrechts erschweren und erreichte dieses Ziel auch. Die nunmehr gesamtdeutschen Asylbewerberzahlen gingen in den folgenden anderthalb Jahrzehnten immer weiter zurück. Ebenfalls 1993 wurde „Überfremdung“ zum Unwort des Jahres  ernannt.

Unterdessen waren die Kinder der einstigen Gastarbeiter erwachsen geworden und schickten sich an, die von Wallraff beschriebenen Verhältnisse hinter sich zu lassen und vollwertige Mitglieder der deutschen Gesellschaft zu werden, schließlich waren sie hier geboren. Im Jahr 1994 zogen mit Leyla Onur und Cem Özdemir die ersten Abgeordneten mit türkischen Eltern in den Bundestag ein. Langsam wich die Überfremdungsangst der Einsicht, dass Zuwanderung nun einmal stattgefunden hatte und in einem kontrollierten Rahmen weiter stattfinden würde. Der Sprachgebrauch wandelte sich, aus Ausländern und Asylanten wurden erst ausländische Mitbürger und dann Mitbürger mit Migrationshintergrund. Um die Jahrtausendwende regelte die rot-grüne Koalition von Bundeskanzler Schröder Sachfragen wie wie die doppelte Staatsbürgerschaft und die Zuwanderung von Fachkräften.

Die Zuwanderung der Vergangenheit war nun normalisiert und setzte sich vorerst nur in geringem Umfang fort. Die damit zusammenhängenden Debatten hörten allerdings nicht einfach auf, sondern fokussierten sich nach dem 11. September 2001 und weiteren islamistischen Terroranschlägen zunehmend auf den Umgang mit dem eingewanderten Islam. Davon zeugen zu Beispiel die Kontroverse um die DİTİB-Zentralmoschee in Köln und Bestseller wie Henryk M. Broders „Hurra, wir kapitulieren!“ oder Thilo Sarrazins „Deutschland schafft sich ab“  sowie die Reaktionen darauf. Nichtsdestotrotz erscheint die Zuwanderungserfahrung (West) in der Summe als eine mühsam erkämpfte Erfolgsgeschichte. Mögen auch Probleme und Reibereien bleiben und sich Debatten etwa am Umgang deutscher Fußball-Nationalspieler mit der türkischen Regierung entzünden, so lebt doch eine große Zahl einstiger Einwanderer und ihrer Nachkommen gut integriert in Deutschland und Döner Kebab ist ein deutsches Nationalgericht geworden. So könnte es für immer weitergehen.

Zuwanderung in den Osten:
Lange nichts, dann ein Schock

Der Osten erlebte Zuwanderung ganz anders, nämlich lange Zeit überhaupt nicht beziehungsweise nur als Zuschauer im Westfernsehen, und vor kurzem dann real und als Schock. Auch die DDR begann in den 60er Jahren mit der Anwerbung von Vertragsarbeitern und steigerte deren Anzahl bis zu ihrem Ende kontinuierlich. Ihre Gesamtzahl blieb jedoch vergleichsweise gering und eine Bleibeperspektive bekamen sie nie. Auch sonst bestanden keine Anlässe für eine nennenswerte Einwanderung in die DDR – wer wollte schon in ein Land, das seine Bürgerinnen und Bürger mit Mauern und Soldaten vom Davonlaufen abhalten musste.

Daran änderte sich nach dem Beitritt zur Bundesrepublik zunächst wenig. Zwar trat in der gesetzarmen Zeit nach dem Zusammenbruch der alten staatlichen Ordnung ein unerwartet dicker Bodensatz an Ausländerhass und Rechtsextremismus zutage und mischte sich mit den Pogromen von Hoyerswerda und Rostock sowie weiteren Angriffen auf die wenigen anwesenden Ausländer in die Endphase der nunmehr gesamtdeutsch gewordenen Asyldebatte ein, doch Zuwanderung und Integration blieben im Wesentlichen ein Thema des Westens. Der Osten kämpfte mit seiner Entindustrialisierung, mit Geburtenrückgang und Abwanderung. Obendrein zogen bis 1994 die sowjetischen Streitkräfte ab. Das Land leerte sich; wer blieb, war mit sich beschäftigt und bis auf einige großmäulige Besserwessis kam niemand und störte dabei. Anlässe für Zukunftssorgen gab es reichlich, doch Migration gehörte bei nüchterner Betrachtung kaum dazu. Zudem gingen die Asylbewerberzahlen ab 1993 schnell zurück und ein paar russlanddeutsche Aussiedler waren nicht halb so fremd wie Moscheen und Kopftücher. Berlin-Kreuzberg mochte ein Klein-Istanbul sein, in Rostock, Jena oder Dresden hingegen war bis auf zunehmende gastronomische Diversität von Zuwanderung wenig zu spüren. Wenigstens das blieb im großen Umbruch konstant.

Ein wenig EU-Binnenwanderung mochte stattfinden, aber sie war keine Bedrohung blieb unauffällig. Anderes wurde nach der Jahrtausendwende sichtbar. So kam es etwa 2007/08 zum Leipziger Disko-Krieg, Auseinandersetzungen zwischen einer Gruppe von Männern mit diversen Migrationshintergründen, die sich selbst Kanaken nannten, und der örtlichen Türsteherszene. Der Höhepunkt im Frühjahr 2008: Randale im Nachtleben der Leipziger Innenstadt mit einem Todesopfer. Offenbar gab es jetzt auch „bei uns“ Ausländergangs, die um sich schossen. Das 1990 schnell aufgetauchte Zuhältermilieu hatte sich zwar ähnlich benommen, aber noch überwiegend mit den Akzenten der Brüder und Schwestern gesprochen.

Ebenfalls in Leipzig zeigte sich einige Jahre später und nach der Sarrazin-Debatte auch der Islam, als 2013 die Ahmadiyya-Gemeinde im Rahmen ihres 100-Moscheen-Plans die Errichtung der ersten Kuppelmoschee im Osten außerhalb Berlins plante. Dieses Vorhaben löste Proteste aus, die rückblickend wie eine Ouvertüre zum Auftritt von PEGIDA ein Jahr später in Dresden wirken. Mehr als die Hälfte der Ostdeutschen fühlte sich zu diesem Zeitpunkt vom Islam bedroht und nun stand er auf einmal vor der Tür und baute eine Moschee.

Obwohl solche Ereignisse punktuell blieben und einzeln wie in der Summe kein Drama darstellten, blieben sie als überraschend und gewöhnungsbedürftig im Gedächtnis. Parallel dazu setzte eine weitere Entwicklung ein: Ab 2009 nahm die Zahl der Asylbewerber in Deutschland wieder zu und dieser Trend beschleunigte sich bis 2015. Von 2012 bis 2016 wuchs die Zahl der Asylanträge exponentiell mit ungefähr einer Verdoppelung im Jahrestakt. Auf dem Höhepunkt 2015, als die jährlichen Asylbewerberzahlen sogar jene von 1992 während der Asyldebatte überstiegen, regte sich gesamtdeutscher Unmut. Die daraus resultierenden subjektiven Erfahrungen aber unterschieden sich fundamental zwischen Ost und West.

Im Westen fiel diese Welle zwar auf, aber vielerorts nicht als dramatische Veränderung einer ohnehin migrationserfahrenen Gesellschaft. Für den Osten hingegen war es die erste große Einwanderungswelle überhaupt seit der Flucht und Vertreibung am Ende des Zweiten Weltkrieges. Sie kam ohne Einladung und ohne das Eigennutzversprechen der Gastarbeiter und sie brachte den Islam mit, den man zwar selbst vor allem aus dem Fernsehen oder vielleicht von Urlaubsreisen kannte, der aber keinen einwandfreien Leumund mehr hatte. Alleine zahlenmäßig brachte diese Migrationswelle für den Osten eine viel größere relative Veränderung mit sich als für den Westen. Binnen weniger Jahre verdoppelten sich die Anzahl und der Bevölkerungsanteil von Ausländern etwa in Sachsen, Thüringen und Brandenburg. Binnen kurzer Zeit wurde Zuwanderung sicht- und greifbar, die sich vorher nur langsam und im Stillen abgespielt hatte. Dieser Vorgang muss auf viele im Osten schockierend gewirkt haben.

Frontenbildung und Wechselseitiges
Unverständnis

Hier brach die Kommunikation zusammen und es bildeten sich jene Fronten, die einander bis heute verständnislos und unversöhnlich gegenüberstehen. Wer die westliche Einwanderungsgeschichte verinnerlicht hatte und positiv bewertete, wer das „Wir schaffen das!“ der Kanzlerin teilte, sah in der Sache kein übergroßes Problem. Wer jedoch schockiert war, sei es nun objektiv gerechtfertigt oder nur aus subjektivem Erleben, fragte sich hingegen, was da geschah, warum es geschah, und warum „uns“ niemand gefragt hatte. In einer besseren Welt hätte man darüber ruhig und sachlich debattiert, doch das geschah nicht. Wann immer die Schockierten versuchten, sich zu artikulieren – gewiss oft unbeholfen und im Verein mit falschen Verbündeten, aber doch im Grundsatz legitim und nachvollziehbar – wirkten sie auf die anderen nur wie Echos vergangener Asyl- und Sarrazin-Debatten und war nicht der Osten schon immer etwas zu rassistisch und rechtsextrem gewesen? Als Antwort auf diese vermeintlich bekannten Schlüsselreize folgten routinierte Abwehrreaktionen, der Kampf „gegen rechts“ wurde verschärft.

Doch das rhetorische Arsenal der Ablehnung, Ausgrenzung und Delegitimierung wirkt doppelt kontraproduktiv. Nicht nur behinderte seine Anwendung einen konstruktiven Dialog und wechselseitiges Verständnis, es weckte auch seinerseits Abwehrreflexe. Im Osten erinnert sich so mancher noch daran, wie einst die Funktionäre in der DDR ihre Diskursmacht ausübten, wie jeder wusste, welche Äußerungen erlaubt und erwünscht waren und welche man besser unterließ, wenn man keinen Ärger bekommen wollte. Ebenso gut erinnert man sich an die späteren Belehrungen der Besserwessis in der Zeit der faktischen Zwangsverwaltung durch den Westen. Das wollte man sich nicht noch einmal gefallen lassen. Auch offensiver verbaler Antifaschismus wirkt nicht als Einladung zum Dialog, wenn sich das Gegenüber aus eigenem Erleben oder familiärer Überlieferung noch an den amtlichen Euphemismus vom antifaschistischen Schutzwall erinnert und daran, wie man ihn eines Tages unter großem Jubel von allen Seiten durchlöcherte.

Diese Kommunikationsstörung hält bis heute an und mittlerweile sieht jeder im anderen einen Haufen gefährlicher Irrer, weil es nie einen offenen und gelassenen Austausch über die unterschiedlichen Erlebnisse und Voraussetzungen gab. Stattdessen machten die einen den „besorgten Bürger“ zum Schimpf- und Spottbegriff, während sich die anderen mit ihren für sie realen und berechtigten Sorgen alleine gelassen fühlen. Dahinter steckt oft nicht einmal böser Wille, sondern nur die Unfähigkeit, die Perspektive von Menschen aus einem etwas anderen Land zu sehen. So berichtet nach der Thüringer Landtagswahl eine Lehrerin auf Twitter von Reaktionen ihrer Schülerinnen und Schüler, 75% mit Migrationshintergrund, auf das Wahlergebnis und deren Befürchtungen sind rührend und nachvollziehbar. Auf die Schockierten (Ost) aber wirken die beiläufig und selbstverständlich erwähnten drei Viertel wie eine Erscheinung aus einer anderen Welt, welche neuerdings anscheinend auch die ihre werden solle. Ausdrücken können sie das nicht, ohne nicht sogleich mit Ablehnung übergossen zu werden. Nur ein Akteur ist zur Stelle, der den Schockierten und Besorgten zuzuhören scheint, sie ernst zu nehmen, sie zu vertreten und die Gegenseite auf vergleichbare Weise zu piesacken: die AfD.

Miteinander reden, nicht gegeneinander oder übereinander

Enden kann dieser unproduktive Grabenkrieg nur, wenn erfolgreiche Kommunikation die gescheiterte ablöst. Dazu müssen beide Fronten einsehen, dass sich zwei Deutschlands über vierzig Jahre und zwei Teile eines Deutschlands über noch einmal dreißig unterschiedlich entwickelt haben, dass zwar die staatliche Einheit vollendet ist, aber keine Gleichheit der Gedanken und Erfahrungen, die es nie geben wird. Sie müssen sich austauschen über ihre verschiedenen Weltsichten und die verschiedenen Erlebnisse dahinter. Gelingt dies, können wir wichtige Fragen unter expliziter Berücksichtigung aller legitimen Perspektiven neu verhandeln und entscheiden. „Besorgter Bürger“ darf kein Schimpfwort sein, wenn die Sorge echt und aus Geschichte und Erleben nachvollziehbar ist und im Rahmen realistischer Gestaltungsspielräume neu zu verhandeln bedeutet nicht, Höckesche Phantasien oder überhaupt irgendeine radikale Forderung zu bedienen.

Kurz nach der Vereinigung ist das schon einmal gelungen, als ein Kompromiss zwischen den weit auseinanderklaffenden gesetzlichen Regelungen des Schwangerschaftsabbruchs gefunden werden musste und wurde. Vielleicht war das damals trotz der Schwere des Themas einfacher, weil die in dieser Frage liberale Tradition der DDR Seite an Seite mit kampferprobten progressiven Kräften im Westen stand. Doch auch in anderen Fragen verlaufen die eigentlichen Konfliktlinien nicht streng zwischen Ost und West, die Positionen wirken nur verschieden auf Menschen verschiedener Herkunft.

Bekommen wir das hin oder wollen wir einander die Köpfe einschlagen bis wir reif sind für eine neue Diktatur?

Digitaler Amtsschimmel

In Deutschland zählt der Beamte traditionell mehr als die Bürgerin, die ihm gegenübersitzt. Einige deutsche Staaten nutzten das mehr aus als andere und gegenwärtig haben wir es vergleichsweise gut, doch ganz gelegt hat sich diese Haltung nie und auch das Internet bleibt davon nicht verschont. Als die Öffentlichkeit in den 1990er Jahren das Internet entdeckte, beschäftigten wir uns erst einmal langwierig mit der Frage, wie rechtsgültige digitale Unterschriften auszusehen hätten. Sie seien Voraussetzung für einen sicheren E-Commerce, hieß es damals. Währenddessen legten andere die Grundsteine für Imperien wie Amazon und Google, neben denen sich unsere Digitalwirtschaft heute klein und hässlich ausnimmt.

Ein Vierteljahrhundert später lässt sich der Misserfolg unserer Strategie kaum leugnen. Einstige Leuchttürme der E-Bürokratie wie die Gesundheitstelematik, der  Personalausweis fürs Internet oder der elektrische Postkutscher DE-Mail mit seinem staubigen Logo stehen als Investitionsruinen im Cyber- und Informationsraum. Doch wir wären nicht die Deutschen, verteidigten wir unsere Bürokratie nicht gegen jede Vernunft verbissen bis in den Untergang.

So kommt das E-Government auch deshalb nicht voran, weil es sich zuerst an den Bedürfnissen der Verwaltung statt an jenen der Bürgerinnen und Bürger orientiert. Nicht Usability und einfacher Zugang für alle stehen im Vordergrund, sondern eGovernment-Dienste sollen in erster Linie der Totgeburt Personalausweis endlich Leben einhauchen. Noch im Jahr 2019 stellt eine sogenannte Digitalstadt – diesen Titel verlieh der Branchenverband Bitkom – stolz ein Serviceterminal vor, das Bürger mit ihrem Personalausweis nutzen können, nachdem sie sich ins Bürger- und Ordnungsamt verfügt haben. Selbst in echten Online-Diensten wie der endlich langsam ins Rollen kommenden Neuwagenzulassung übers Internet macht man den Personalausweis weiter zur Sollbruchstelle.

Bliebe die Vorstellung, Bürgerinnen und Bürger hätten der Bürokratie zu dienen, in den Amtsstuben eingeschlossen, könnte man darüber hinweglächeln. Doch Rechtsvorschriften tragen sie in die Wirtschaft und in unseren Alltag. Hochbezahlte Spezialisten überlegen sich zu Beispiel, wie eine rechtskonforme Kundenlegitimation zur Eröffnung eines Bankkontos oder bei einem Kreditantrag aussehen könne, und die Beschreibung ihrer Lösung liest sich wie eine der Jagd nach dem Passierschein A38. Stolz verweist man darauf, eine Gesetzesänderung habe alles vereinfacht: Immerhin benötige man jetzt keine qualifizierte elektronische Signatur in der Tradition des Signaturgesetzes von 1997 mehr, welche sich in der Breite ebensowenig durchsetzen konnte wie später die eID-Funktion des Personalausweises.

Nutzerorientierte Pragmatiker dächten sich an dieser Stelle vielleicht ungefähr folgendes Verfahren aus: Verlässlich identifiziert werden Bankkunden mit Hilfe Ihres Smartphones und mit Unterstützung ihres Mobilfunkanbieters, der ohnehin Kundenidentitäten vorratsdatenspeichern muss. Alternativ oder zusätzlich kommen bestehende Bankkonten sowie Schufa-Daten als Identitätsquelle in Frage, wie sie zum Beispiel Sofort Ident verwendet. Die Verrenkungen zur Produktion einer digitalen Signatur mit dem Ausweis aber ohne dessen Signaturfunktion könnte man durch ein nutzerfreundliches Protokoll ersetzen. Zum Beispiel könnte die Bank ihren Neukunden die Vertragsunterlagen mit einem integrierten Transaktionscode in Form einer TAN oder eines QR-Codes zuschicken und die Kundinnen und Kunden den Inhalt mit diesem Code bestätigen.

Dem stehen jedoch unnötig rigide Vorschriften im Wege, geprägt von einer langen Tradition der Papiere und Aktendeckel statt von Apps, APIs und Websites, verfasst von alten Männer mit Kugelschreibern statt von jungen Menschen, die etwas vom Internet verstehen. Bis sich daran etwas ändert, werden wir weiter darüber sinnieren, warum die Digitalisierung unaufhaltsam voranschreitet und uns dabei immer wieder abgeschlagen zurücklässt. Vielen scheint das ganz recht zu sein.

Die alten Männer mit Kugelschreibern wissen übrigens viel besser, was sie da tun, als es vielleicht den Anschein hat. Sobald nämlich dem Staat Geld winkt, sind die eben noch so wichtigen Anforderungen auf der Stelle vergessen: Unsere Steuererklärung abgeben und Lotto spielen dürfen wir ohne Ausweis und Unterschrift.

IT Security made in Germany

Das Berliner Kammergericht hat sich Emotet eingefangen, den „König der Schadsoftware” (BSI), und arbeitet seither im Notbetrieb. Wer den Schaden hat, braucht für den Spott nicht zu sorgen, und so melden sich auch aus diesem Anlass jene „Experten“ zu Wort, denen nichts besseres einfällt als den Opfern die Schuld in die Schuhe zu schieben und sie zu verhöhnen:

„Auch generell sollte man sich fragen, ob man eine E-Mail mit einem Anhang von dem angezeigten Absender erwartet – denn die Kennung könnte gefälscht sein. Im Zweifel sollte man den Absender anrufen und ihn fragen, ob die E-Mail wirklich von ihm kommt. Anhänge mit den Dateiendungen ‚.exe‘ oder ‚.zip‘ sollte man generell nicht öffnen, denn sie können noch viel leichter Viren und Trojaner enthalten.“

(Bastian Benrath @ FAZ.net:
Wie ein Trojaner das höchste Gericht Berlins lahmlegte)

Das ist eine Bankrotterklärung. In Wirklichkeit muss ein Computersystem, mit dem man E-Mail liest, in der Lage sein, mit den empfangenen Nachrichten umzugehen. Und zwar selbständig und ohne Nachhilfe seiner Nutzer, zumal wenn es sich dabei nicht um IT-Experten handelt, sondern um Richter und Justizangestellte.

So etwas ist kein Hexenwerk. Schon wer den Schritt in die Cloud geht und seine E-Mail konsequent zum Beispiel mit den Anwendungen von Google (GMail + Office Suite + Drive) bearbeitet, dürfte um Größenordnungen sicherer sein als Old-School-PC-Benutzer, die jeden Anhang herunterladen und lokal öffnen.

Doch die Cloud, zumal die ausländische aus Amerika, wo die Datenkraken hausen und nichts auf die deutsche Hochkultur von Datenschutz bis Algorithmenethik geben, die Cloud gilt als haram und ist zu meiden. Ehe man sich mit dem Teufel einlässt, opfert man lieber ein Kammergericht und hofft, so den Zorn der Götter zu besänftigen. Unsere Gesellschaft ist in der IT-Sicherheit so rückständig wie in allem anderen, was mit Informationstechnik zu tun hat.

Um Missverständnisse zu vermeiden: Das heißt nicht, dass man nur alle Daten zu Google tragen müsse und alles werde gut. Doch wir nehmen anscheinend nicht einmal mehr zur Kenntnis, dass sich die Welt in den letzten Jahrzehnten weitergedreht hat, manches Problem lösbar geworden ist und sich die wohlmeinenden Hinweise von einst – Sei vorsichtig im Internet! – als wenig hilfreich erwiesen haben.

Die Politik hat bereits einen Plan, wie wir die Weltspitze einholen wollen, ohne sie zu überholen: indem wir sie zerschlagen, ach was, zerschmettern! wie es einst die Armee unserer Großväter mit ihren Gegnern zu tun pflegte, bevor sie Schal und Mütze für kalte Tage zu Hause vergaß und ihrerseits zerschmettert wurde. Freilich nicht mit einem Heer, dessen Ausrüstung die Bedingungen des Versailler Vertrags besser denn je erfüllt, sondern mit neuen Schwertern des Wettbewerbsrechts, die im GWB-Digitalisierungsgesetz gerade geschmiedet werden.

Wäre doch gelacht, wenn wir uns nicht ein drittes Mal eine blutige Nase holen könnten. Wer weiß, vielleicht endet es diesmal damit, dass die Chinesen vorbeikommen und Harmonie exportieren.

Petition: Tempolimit 130 km/h

Kurze Durchsage:

Bis zum 3. April 2019 könnt Ihr eine aktuelle Petition für ein allgemeines Tempolimit von 130 km/h auf den deutschen Autobahnen unterzeichnen. Mehr als 13.000 36.000 40.000 44.000 52.000 59.000 Menschen haben das bis jetzt bereits getan. Die Bundesregierung lehnt ein solches Tempolimit ab, aber vielleicht wollt Ihr Euch ja nicht völlig widerstandslos regieren lassen. Initiiert und eingereicht wurde diese Petition von der Evangelischen Kirche in Mitteldeutschland.

P.S.: Falls Ihr Werbung machen möchtet, Handzettel und Aushänge zum Ausdrucken und Verteilen gibt es hier.

Sicherheitstechnik gehört nicht ins Gesetz

Die SPD-Bundestagsfraktion hat ein Positionspapier zum IT-Sicherheitsgesetz 2.0 beschlossen. Da stehen einige sinnvolle Forderungen drin, etwa nach Verbesserungen im Opferschutz und bei den zuständigen Behörden. Andere sind Blödsinn, allen voran jene nach einer Verpflichtung von Dienstanbietern zu spezifischen Sicherheitsmaßnahmen wie 2-Faktor-Authentisierung.

Sicherheit sei kein Zustand, lautet ein geflügeltes Wort, sondern ein Prozess. Dies gilt nicht nur für den Betrieb von IT-Systemen, sondern auch für ihre Entwicklung und Gestaltung. Konkrete Ausprägungen von Sicherheitsfunktionen stehen am Ende einer langen Folge von Entwurfsentscheidungen.

Viele dieser Entscheidungen sind das Resultat von Abwägungen zwischen verschiedenen Entwurfszielen auf verschiedenen Gebieten, zum Beispiel Funktionalität, Usability und Usability. Noch mehr Entscheidungen treffen gar nicht die Entwickler selbst, sondern der Markt und der Stand der Technik, der sich ständig weiterentwickelt.

In diesem Kontext einen sinnvollen und lange haltbaren Fixpunkt zu setzen, ist schwierig, und Politiker sind für diese Aufgabe noch weniger qualifiziert als jene, die wenigstens das Problem verstehen. Die besten Lösungen entstehen vielmehr durch fortwährende Evolution.

Ein Beispiel: Die URL-Zeile im Webbrowser begann ihre Karriere vor mehr als einem Vierteljahrhundert als einfaches Eingabefeld für Web-Adressen. Im Laufe der Zeit stellte sich heraus, dass gefälschte Websites für allerlei Angriffe benutzt werden können und man daher gut daran tut, die Benutzer eines Browsers so gut wie möglich bei der Erkennung solcher Täuschungsversuche zu unterstützen.

Dabei müssen gleichzeitig andere Ziele berücksichtigt werden, wenn die URL-Zeile dient weiterhin auch ihrem ursprünglichen Zweck. Über die Jahre haben die Browser-Entwickler gelernt, auf welche Einzelheiten es ankommt und wie man die verschiedenen Ziele gut unter einen Hut bekommt, und daraus Empfehlungen formuliert.

Diese Empfehlungen repräsentieren den aktuellen Stand; die Entwicklung wird weitergehen, die Anforderungen werden sich ändern und man wird für neue Aspekte des Problems neue Lösungen finden. Evolution eben. „Security by Design“ klingt zwar gut, aber Design ist nichts anderes als forcierte Evolution.

Spezifische Entwurfsvorgaben von Gesetzesrang grenzen diese Evolution willkürlich ein. Sie machen aus einem Lern- und Innovationsproblem eine Compliancefrage und eine bürokratische Angelegenheit. Damit erreichen sie genau das Gegenteil des Gewollten: Die Sicherheit erhöht sich nicht, sondern alle sind nur noch damit beschäftigt, gesetzliche Vorgaben einzuhalten, seien sie nun sinnvoll oder nicht.

Tatsächlich ist liegt simple 2-Faktor-Authentisierung alleine sogar schon hinter dem Stand der Technik. Wer sich moderne, das heißt nichtdeutsche Websites oder gar „die Cloud“ anschaut, findet dort ausgefeilte Systeme zum Identitäts- und Rechtemanagement, in denen die unmittelbare Benutzerauthentisierung nur ein Baustein ist.

Einige andere Bausteine sind an der Benutzerschnittstelle zum Beispiel die Verwaltung von Clientgeräten (Funktionen wie: „Alle angemeldeten Geräte abmelden“), Benachrichtigungsfunktionen („Jemand hat Ihr Passwort dreizehnmal falsch eingegeben.“), die Nichtbehinderung von Passwortmanagern sowie Recovery-Funktionen, mit denen Benutzer in verschiedenen Situationen (Passwort vergessen, gehackt, E-Mail-Adresse verändert) wieder Zugang zu ihrem Account bekommen. All diese Bausteine sind sicherheitsrelevant und jeder von ihnen sowie ihr Zusammenspiel unterliegt ebenso wie die Gestaltung der URL-Zeile im Browser der fortlaufenden Evolution.

Gesetzestexte können schon die statische Komplexität des Themas nicht fassen, von der Weiterentwicklung gar nicht zu reden. Konkrete gesetzliche Vorgaben zur Gestaltung von Authentisierungsfunktionen wären schon bei Inkrafttreten des Gesetzes veraltet oder unvollständig. Sogar als rein wirtschaftlich motivierte Marktregulierung taugt der Ansatz wenig: Ausgerechnet heimische Anbieter wie GMX und Web.de tun sich schwer mit der Zwei-Faktor-Authentisierung, während sie bei den Großen aus Amerika längst Standard ist. Ganz ohne Gesetz übrigens.

Ich wäre der Politik dankbar, wenn sie sich auf das Formulieren von User Stories* beschränken und die Technik den ITlern überlassen würden. Glauben Sie mir, meine Damen und Herren, und das möchte ich hier in aller Deutlichkeit betonen: Es ist besser so. Wer die Evolution der Technik wirklich beeinflussen möchte, sollte das indirekt über die Anreize tun.


*) Eigentlich: Anforderungen, aber die Erklärung, warum Lösungsvorschläge schlechte Anforderungen sind, wäre mir hier zu lang geworden.

 

PS: Jemand hat mir dieses Video zum Thema zugespielt, das ich nachträglich im Text mit verlinkt habe.

Vercybert

Häme ist billig, macht jedoch Spaß. In diesem Sinne:

Nationales Cyber-Abwehrzentrum gegründet. BSI vergrößert. Kommando CIR aufgebaut. Forschungsgelder versenkt. Allianz für Cybersicherheit gepflegt. Agentur für Innovation in der Cybersicherheit beschlossen. IT-Sicherheitsgesetz eingeführt.

Ergebnis dieser Bemühungen: Die deutsche Cyberabwehr erfährt nach Wochen aus den Medien, dass jemand in aller Öffentlichkeit Politiker und Promis doxxt.

PS: Dem Kommentator des RND ist dasselbe aufgefallen. Er schreibt: „Obwohl sich in den letzten Jahren immer mehr staatliche Institutionen um Cybersicherheit kümmern, scheint doch die tatsächliche Cybersicherheit in umgekehrt proportionalem Verhältnis zur Zahl eben dieser Institutionen zu stehen.“

PPS: Nach einer neueren Meldung wusste das BSI schon länger von dem Vorgang und will auch seine schwarzen Hubschrauber („Mobile Incident Response Team“) losgeschickt haben.

PPPS: Das BSI findet es inzwischen besser, doch nur ganz, ganz wenig gewusst zu haben.

Die Blockchain-Legende als Symptom einer Pluralismuskrise

Während sich Berlin und Brüssel um Fake News und Social Bots sorgen und der Spiegel in seinen Reihen einen verwirrten Einzelfaker aufspürt, spielt sich vor unseren Augen die größte Fake-News-Krise des frühen 21. Jahrhunderts ab: die Legende von der wunderbaren Blockchain-Technologie, die alles revolutioniere. Entstanden als Behauptung windiger Geschäftemacher, schaffte sie es mittlerweile in Zeitungsartikel, auf Wahlplakate, in Koalitionsverträge sowie ins Abendprogramm der ARD. Treiber dieser memetischen Krise sind nicht die üblichen Verdächtigen – Putins Trollarmeen, horizontbeschränkte Wutbürger und Protonazis sowie Facebook, Twitter und Google – sondern gesellschaftliche Systeme, die emergent-kollektiver Bullshitterei zunehmend wehrlos gegenüberstehen.

Texttafel als Fernsehbild
Screenshot aus der Sendung Börse vor acht der ARD vom 17.12.2018. Im Anschluss an einen Bericht über hohe Kursverluste sogenannter Kryptowährungen verkündete die Moderatorin die nicht mehr taufrische Geschichte von der Blockchain-Technologie hinter den sogenannten Kryptowährungen, die eine Zukunftstechnologie sei.

Banale Technik

Die Blockchain gibt es tatsächlich. Sie ist allerdings keine Technologie, sondern eine IT-Architektur. Ausgangspunkt war das virtuelle Spekulationsgut Bitcoin, das auf dem Finanzmarkt gerade eine Wertberichtigung erfährt. Da sich Zufallszahlen auch mit einer guten Geschichte kaum verkaufen lassen, kombinierte Bitcoin kreativ mehrere Entwurfsmuster: (1) eine Protokolldatei aus kryptografisch verketteten Einträgen, so dass Manipulationen erkennbar werden und nur das Anhängen neuer Einträge zulässig ist, (2) die redundante Speicherung dieser Datei bei jedem Teilnehmer, (3) ein Verfahren zur (technischen) Konsensbildung darüber, welche Inhalte in welcher Reihenfolge an die Datei angehängt werden, (4) künstlich erzeugten Rechenaufwand als Voraussetzung für die Teilnahme, um Manipulationen der Konsensbildung zu verteuern, sowie (5) eine Lotterie, welche die Teilnahme an der Konsensbildung gelegentlich belohnt.

Im Wesentlichen handelt es sich bei einer Blockchain um eine Protokolldatei mit kryptografischer Integritätssicherung. Die übrigen Elemente benötigt man nur deshalb, weil man diese Protokolldatei nicht in der üblichen Weise zentral auf einem Server im Internet führt, sondern – ohne erkennbare technische Motivation – auf eine solche Instanz verzichten möchte. Später kam die Idee der „Smart Contracts” hinzu. Das sind Programme, die mit Protokolleinträgen als Ein- und Ausgaben arbeiten und selbst protokolliert sind.

Kein plausibler Nutzen

Ein Protokollierungsmechanismus, der aufgrund willkürlicher Entwurfsentscheidungen unnötig ineffizient ist, soll also die Cyberdigitalisierung revolutionieren und Krebs heilen. Wirklich Neues jedoch kann man damit gar nicht anfangen. Verlässliche Protokolle kennt die Menschheit, seit die ersten Hieroglyphen in Ton geritzt wurden. Auch Erzählungen von Smart Contracts wirken  nur noch halb so beeindruckend, wenn man erst einmal das kontaktlose Bezahlen mit Karte oder Telefon ausprobiert hat. Viel smarter als eine Kreditkarte mit Chip werden Verträge in diesem Leben voraussichtlich nicht mehr

Dass es in der Praxis zudem eher auf Pragmatik ankommt als auf starke Kryptografie, konnten wir gerade in Deutschland mehrfach schmerzhaft lernen, etwa angesichts des einst in seiner Bedeutung hoffnungslos überschätzten Signaturgesetzes oder der Investitionsruine eGK. Unterdessen kaufen wir seit inzwischen Jahrzehnten alles Mögliche im Netz ein und das funktioniert prima ohne ein zentrales Transaktionsregister.

Dementsprechend vage bleiben die Verheißungen der wunderbaren Blockchain-Technologie durch sämtliche Nachrichten hinweg. Zwar betonen alle, welch eine Revolution sich gerade vollziehe, doch der Aufforderung: „Show, don’t tell“ folgt niemand. Erfolgreiche Projekte findet man nicht einmal, wenn man sie aktiv sucht und als mögliche künftige Anwendungen werden wie im Bildschirmfoto oben vor allem solche aufgezählt, die es längst gibt, nur eben funktionierend statt mit Blockchain. Da hilft auch die Umbenennung in Distributed Ledger Technology nicht.

Das konnte man alles sehen und wissen, schon lange, wenn man ab und zu nach Antworten auf naheliegende Fragen gesucht hat: Wie soll das funktionieren? Hat das mal jemand ausprobiert? Wie hat man das Problem bisher gelöst? Was wird besser, was schlechter, wenn man eine Blockchain-Lösung baut? Handelt es sich überhaupt um ein Problem, für dessen Lösung jemand Geld ausgeben würde? Viele haben es auch gesehen und gewusst und die Blockchain-Promoter belächelt, seit Jahren schon, denn überzeugende Details enthielt die Geschichte nie, dafür viele phantasievolle Ausschmückungen des immergleichen Grundgerüsts, und zuletzt sprachen auch harte Daten gegen die Vermutung eines echten Technologietrends.

Bullshitblase

Gescheitert sind an der Legende von der Blockchain jedoch gesellschaftliche Teilsysteme, denen die Einschätzung von Wahrheit und Relevanz obliegt: die Medien, die Wissenschaft und in der Folge auch die Politik. Eine lose Allianz aus Geschäftemachern, Konzernen,  Wissenschaftlern und Wissenschaftsorganisationen sowie Journalisten bildet eine Blökchain, in der alle einander auf die Schulter klopfen und versichern, wie prächtig und revolutionär des Kaisers neue Blockchain sei – während ringsum alles in Chor ruft, da sei nicht mal ein nackter Kaiser.

Foto: Schafe bilden eine Blökchain

Als schwarze Schafe, welche die Legende in die Welt setzten, fungierte zum einen die ICO-Szene, zum anderen Konzerne mit Innovationsdefiziten. Die ICO-Szene entwickelte sich aus der Erkenntnis, dass sich das Bitcoin-Modell beliebig vervielfältigen lässt, und der Idee, solche Kopien herzustellen und aus diesem Anlass „Token“ an risikobereite Investoren zu verkaufen. Im Gegensatz zum oberflächlich ähnlichen IPO eines Startups erwerben die Investoren dabei keine Unternehmensanteile, sondern sie investieren lediglich in die Hoffnung, jemand könne ihnen in Zukunft ihre Token abkaufen, warum auch immer, und dafür einen höheren als den ursprünglichen Preis zahlen.

Gleichzeitig sahen einige Konzerne eine Gelegenheit, sich innovativ zu geben und ihren an sich langweiligen und schwer unterscheidbaren Produkten und Dienstleistungen Alleinstellungsmerkmale anzudichten – eben die Blockchain-Technologie, welche danke Bitcoin-Blase und ICO-Meldungen im Gespräch war. Das ist nicht ungewöhnlich; man denke etwa an die Second-Life-Blase vor etwas mehr als zehn Jahren mit ähnlichem Verhalten teils derselben Akteure. Wenn ein Konzern laut darüber redet, so etwas zu tun, dann sind Nachahmer nicht weit, und so behaupten heute viele alte Unternehmen, irgendwas mit Blockchain zu tun. Zugute kommt ihnen dabei der Blökchain-Mechanismus – sie müssen nur in den Chor derer einstimmen, die von der goldenen Blockchain-Zukufnft schwärmen, und sie sind in diesem Chor herzlich willkommen.

Überforderte Institutionen

Bis hierhin handelt es sich um legitime Spekulation und PR im eigenen Interesse, um ganz normalen Kapitalismus, der bestimmungsgemäß funktioniert. Normalerweise stehen diesen Akteuren und ihrem Handeln jedoch als Korrektiv Systeme mit Objektivitätsanspruch gegenüber, etwa die Medien und die Wissenschaft. Diese Systeme sind bislang allen offensichtlichen Zeichen zum Trotz an der Legende von der Blockchain-Revolution gescheitert.

Für die Medien ist die Geschichte von der Blockchain ein gefundenes Fressen. Medien mögen Geschichten, selbst wenn sie falsch sind. Gleichzeitig steckt die Presse seit Jahren in der Krise, ihre Auflagen sinken ebenso wie die Werbeeinnahmen und vom einstigen Geschäft mit den Kleinanzeigen sind höchstens noch die Trauerfälle in der längst woanders produzierten Lokalzeitung übrig. Ein Thema ernsthaft und kritisch zu recherchieren, auch wenn keine spektakuläre Enthüllung als Belohnung winkt, kann man sich kaum noch leisten. Recherchiert man weniger gründlich, verfängt man sich jedoch fast zwangsläufig in der Blökchain. Die sichtbarsten und zugänglichsten Experten sind dann jene, auf deren Agenda die Blockchain-Promotion steht und sie verbreiten selbstverständlich ihre Legende.

Ist dies oft genug geschehen, wird die Politik aufmerksam. Was es mit einem Schlagwort wirklich auf sich hat, interessiert dort erst einmal weniger, solange es als Code für Fortschritt und Modernität oder sonst irgendeinen ätherischen Wert brauchbar scheint. So landete die Blockchain erst in den Wahlkämpfen der FDP und alsbald auch im Koalitionsvertrag der aktuellen GroKo. Das nationale und kontinentale Trauma, in der IT- und Internetwirtschaft hoffnungslos den Anschluss verloren und sich stattdessen in Datenschutz-, Ethik- und Sicherheitsdebatten verzettelt zu haben, bereitet inzwischen reale Schmerzen. Man sucht händeringend nach dem Next Big Thing™, bei dem man endlich mal die Nase vorn haben möchte, und läuft deshalb jedem sich abzeichnenden Trend hinterher. So wandert die Legende weiter in die real existierende Forschungsförderung. Ähnliches spielt sich auf europäischer Ebene ab.

Dies wiederum führt die Wissenschaft an die Blökchain heran. Was mancher noch für eine hehre Wahrheitssuche hält, ist über weite Strecken längst zu einem Geschäft geworden, in dem jene als die Erfolgreichsten gelten, welche die höchsten Fördersummen akquirieren und verbrauchen. Von dort ist folglich zur Blockchain-Legende kaum ein kritisches Wort zu hören, solange man mit Fördermitteln für dieses Thema rechnet. Im Gegenteil, seit sich der Thementrend abzeichnet, produziert man eilig Thesenpapiere, Experten und Labore, um sich für den Kampf ums Geld in Position zu bringen und so auszusehen, als hätte man die Blockchain beinahe miterfunden. So stimmen Wissenschaftler und Funktionäre in den Chor ein, der von einer goldenen Blockchain-Zukunft schwärmt, denn alles andere wäre sehr dumm, wenn Geld für Blockchain-Projekte winkt.

Was  nun?

So hat sich quer durch die Gesellschaft eine Blase gebildet, in der die Legende von der wunderbaren, alles revolutionierenden Blockchain-Technologie durch wechselseitige Bestätigung und Bekräftigung am Leben erhalten wird, während man sich gegen Kritik und Zweifel durch Ausschluss der Kritiker immunisiert. Schuld daran sind weder Putins Trollarmeen noch die bösen Internetplattformen, sondern die Verhältnisse in wichtigen Teilsystemen unserer Gesellschaft sowie deren Zusammenwirken. Wo alle einander nachhaltig dieselbe offensichtlich halbwahre Geschichte nacherzählen, fehlt es an öffentlichem Widerspruch und mithin an Pluralismus.

Von ihrem gegenwärtigen Leitthema wird sich diese Fake-News-Blase bald verabschieden, weil es darüber kaum noch Neues zu erzählen gibt und sich die alte Legende abnutzt, wenn vorzeigbare Erfolge weiter ausbleiben. Doch die Strukturen und Mechanismen dahinter werden bleiben und sie werden neue Themen finden, mit denen sie uns ebenso lange und intensiv auf die Nerven gehen werden. Wir müssen uns deshalb fragen, mit welchen Mitteln wir künftig Nachrichten, Weltbilder und Kritik produzieren möchten und was wir ungenierter Bullshitterei entgegensetzen können.

Ein Hoffnungsschimmer

Andererseits sehe ich nicht so schwarz, wie es hier im Text vielleicht scheint, sondern ich glaube daran, dass sich die Wahrheit auf lange Sicht doch durchsetzt. Gegenwärtig kommt ein Hauch von Realismus in der Berichterstattung an und wenn das Rückzugsgefecht so weitergeht, lassen wir das Thema Blockchain vielleicht bald hinter uns. Es wird auch Zeit.

Texttafel als Fernsehbild
Immerhin hat die wunderbare Blockchain-Technologie inzwischen auch in der Berichterstattung Nachteile. Nun fehlt nur noch die Erkenntnis, dass sie an diesen Nachteilen gescheitert ist.

 

Investitionsruine eGK

Die Digitalisierung schreitet unaufhaltsam voran. In der Zeit, die wir seit den ersten Konzepten für den Aufbau unserer hochsicheren und hochverfügbaren Telematikinfrastruktur für das Gesundheitswesen nach Konzepten aus den frühen nuller Jahren verbraucht haben, verbreiteten sich draußen unter anderem:

  • Windows Vista, 7, 8 und 10
  • UMTS und LTE
  • Smartphones, Tablets und Smart Watches
  • Cloud Computing auf allen Schichten von IaaS bis SaaS
  • Site Reliability Engineering und Chaos Engineering
  • API Management
  • Agile Methoden und DevOps
  • Big Data, Machine Learning und KI
  • Stuxnet und andere Cyberwaffen

Auch kamen und gingen der neue Personalausweis, DE-Mail, das beA sowie die Piratenpartei.

Bekäme man das Gesundheitskartennetz zusammen mit dem Berliner Flughafen eines Tages doch noch fertig – was würde man dann mit dieser hoffnungslos veralteten Technik tun?

Wechselnde Prioritäten

Sicherheit ist schwer, weil das Angreiferverhalten nicht einmal statistisch konstant bleibt. Diese Erfahrung machte auch die DDR kurz vor ihrem Ableben:

Jahrzehntelang hatte man sich intensiv auf einen militärischen Konflikt mit dem Klassenfeind vorbereitet. Dem preußischen Militarismus stand die DDR in nichts nach und die männliche Bevölkerung war hervorragend  militärisch ausgebildet. Der Einsatz der Armee gegen das eigene Volk kam auch deshalb nicht in Frage – es hätte sich zu wehren gewusst und die Armee war fürwahr eine Volksarmee.

Von der Datentransaktion zur Datenemission

Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?

Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.

Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.

Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.

Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.

Der ganze Beitrag:

Sven Türpe; Jürgen Geuter; Andreas Poller: Emission statt Transaktion: Weshalb das klassische Datenschutzparadigma nicht mehr funktioniert. In: Friedewald, M.; Roßnagel, A.; Lamla, J. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden: Springer Vieweg DOI: 10.1007/978-3-658-17662-4_14, © Springer.

Was heißt hier „cyber“?

Die Cyberwehr dient Neuland. Was heißt das?

Seit einigen Jahren und erst recht seit der Ankündigung des Verteidigungsministeriums, die Bundeswehr um das eben aufgestellte Kommando Cyber- und Informationsraum (KdoCIR) als neue Teilstreitkraft zu erweitern, reden alle vom Cyberkrieg. Die Online-Armee soll „Waffensysteme und Computernetze der Bundeswehr schützen, aber auch zu Angriffen in der Lage sein.“

Konkreter wird die öffentliche Diskussion selten. Von hackenden Russen und Chinesen (Spy vs. Spy?) – seltener: Amerikanern et al. – mit staatlichem Auftrag ist öfter die Rede und gelegentlich erinnert jemand an Stuxnet als erste „Cyberwaffe“. Was, wenn jemand so eine Cyberwaffe gegen kritische Infrastrukturen wie die Wasser- oder Energieversorgung unseres Landes einsetzt? Müssen wir da nicht zurückschlagen können?

Jetzt haben wir also eine Cyberwehr, die irgendwas mit Internet, Hacking und IT-Sicherheit macht, auch offensiv und im Ausland, um uns vor sowas zu beschützen. Wann braucht sie dafür ein Bundestagsmandat oder Routingrechte für die Cyber- und Informationsräume anderer Staaten? Wo verlaufen die Grenzen zwischen Angriff und Verteidigung? Ergeben solche Fragen überhaupt einen Sinn und was unterscheidet das Cybermilitär von der Security-Abteilung eines Unternehmens?

Die öffentliche Berichterstattung und Diskussion wirft munter verschiedene Dimensionen des Themas durcheinander. Ich sehe mindestens drei verschiedene Aspekte:

  1. „Cyber“ als IT-Betrieb und Sicherheitsmanagement, wie wir sie kennen: Jede Organisation muss sich um den sicheren Betrieb und das Sicherheitsmanagement ihrer vernetzten Systeme kümmern, so auch die Bundeswehr. Das ist in erster Linie eine Admin- und Abwehraufgabe und für eine Armee die Ausdehnung von Wachdienst und Spionageabwehr ins Internet sowie auf die militärischen Kommunikationssysteme und die IT der Waffensysteme. Bundestagsmandate braucht man dafür so wenig wie für das zivile Gegenstück nach BSI-Kompendium. Soldaten braucht man dafür auch nur bedingt; die Bundeswehr könnte auch einen IT-Dienstleister beauftragen.
  2. „Cyber“ als Erweiterung des Waffenarsenals und Operationsraums: Im Rahmen militärischer Einsätze werden zusätzlich oder alternativ zu herkömmlichen Waffen auch „Cyberwaffen“ eingesetzt, das heißt das Ziel der Operation wird auch durch Eingriffe in Netze und IT-Systeme verfolgt. Statt Bomben auf Kraftwerke zu werfen, könnte die Truppe beispielsweise versuchen, den Strom im Operationsgebiet mit anderen Mitteln abzuschalten. Für solche Einsätze braucht die Bundeswehr ohnehin ein Mandat.
    Abzuwarten bleibt, wie gut „Cyberwaffen“ in diesem Zusammenhang wirklich funktionieren. Kanonen, Gewehre, Geschosse und Bomben haben den Vorteil, im Kern sehr einfachen Funktionsprinzipien zu folgen. Sie lassen sich massenhaft herstellen und unter Feldbedingungen flexibel gegen verschiedene Ziele einsetzen. Ob es eine gute Idee ist, die Energieversorgung zu hacken, statt ein Kommando ins oder Bomber übers Kraftwerk zu schicken, wird sich zeigen.
  3. „Cyber“ als neuer Raum für Konflikte geringer Intensität: Die Informationstechnik ermöglicht auch neuartige Aktionsformen unterhalb der Schwelle zum offenen militärischen Konflikt. Stuxnet ist das prominenteste Beispiel: Ein Staat verfolgt Ziele im Ausland durch Eingriffe in fremde IT-Systeme. Solche Operationen haben eher einen geheimdienstlichen als einen militärischen Charakter.
    Solche Operationen sind neu und international gibt es damit wenig Erfahrung, deshalb stellen sich hier die interessanten Fragen: Was ist ein militärischer Angriff, was nur ein unfreundlicher Akt? Welche Ziele sind legitim, welche Antworten angemessen? Und wie findet überhaupt heraus, wer der Angreifer war? Aufgrund der geheimdienstlichen Natur solcher Operationen wäre die Forderung nach einem vorher zu erteilenden spezifischen Bundestagsmandat kontraproduktiv. Stuxnet illustriert all diese offenen Fragen.

Um qualifiziert und zielführend zu diskutieren, müssen wir uns auf klare gemeinsame Begriffe einigen. Wenn Euch jemand vollcybert oder von hybriden Bedrohungen schwätzt, dann fragt ihn also erst einmal, wovon er eigentlich redet. Denkt daran: „Cyber“ ist immer für eine Geschichte gut und nicht alle Geschichten stimmen auch.

(Getriggert von Holger Schauer bei G+)

PS: Thomas Wiegold erklärt nüchtern, was das KdoCIR tut. Außerdem gibt’s dort die Rede der Vercyberungsministerin zum Anhören und auszugsweise zum Nachlesen.

Apple, the FBI, and the Omnipotence Paradox

“Can God create a rock so heavy He could not lift it?” this is one version of the omnipotence paradox. To make a long story short, ominpotence as a concept leads to similar logical problems as the naïve set-of-sets and sets-containing-themselves constructions in Russel’s paradox. Some use this paradox to question religion; others use it to question logic; and pondering such questions generally seems to belong to the realm of philosophy. But the ongoing new round of (civil) crypto wars is bringing a tranformed version of this paradox into everyone’s pocket.

Can Apple create an encryption mechanism so strong that even Apple cannot break it? Apple claims so, at least for the particular situation, in their defense against the FBI’s request for help with unlocking a dead terrorist’s iPhone: “As a result of these stronger protections that require data encryption, we are no longer able to use the data extraction process on an iPhone running iOS 8 or later.” Although some residual risk of unknown vulnerabilities remains, this claim seems believable as far as it concerns retroactive circumvention of security defenses. Just as a locksmith can make a lock that will be as hard to break for its maker as for any other locksmith, a gadgetsmith can make gadgets without known backdoors or weaknesses that this gadgetsmith might exploit. This is challenging, but possible.

However, the security of any encryption mechanism hinges on the integrity of key components, such as the encryption algorithm, its implementation, auxiliary functions like key generation and their implementation, and the execution environment of these functions. The maker of a gadget can always weaken it for future access.

Should Apple be allowed to make and sell devices with security mechanisms so strong that neither Apple nor anyone else can break or circumvent them in the course of legitimate investigations? This is the real question here, and a democratic state based on justice and integrity has established institutions and procedures to come to a decision and enforce it. As long as Apple does not rise above states and governments, they will have to comply with laws and regulations if they are not to become the VW of Silicon Valley.

Thus far we do not understand very well how to design systems that allow legitimate law enforcement access while also keeping data secure against illiegitimate access and abuse or excessive use of legitimate means. Perhaps in the end we will have to conclude that too much security would have to be sacrificed for guaranteed law enforcement access, as security experts warn almost in unison, or that a smartphone is too personal a mind extension for anyone to access it without its user’s permission. But this debate we must have: What should the FBI be allowed to access, what would be the design implications of guaranteed access requirements, and which side effects would we need to consider?

For all we know, security experts have a point warning about weakening what does already break more often than not. To expectat that companies could stand above the law because security, however, is just silly.

PS, remember Clarke’s first law: “When a distinguished but elderly scientist states that something is possible, he is almost certainly right. When he states that something is impossible, he is very probably wrong.”

PPS: Last Week Tonight with John Oliver: Encryption

Öffentlicher Elektrowahllobbyismus

Ein Anbieter digitaler Wahltechnologie klärt uns darüber auf, wie unsicher herkömmliche Wahlen seien und welche Vorteile die maschinelle Abwicklung künftiger Wahlen hätte. Uns? Nun, genauer gesagt, die Leser von European View, dem Organ des Centre for European Studies. Das ist der Think Tank der Europäischen Volkspartei, der Euro-CDU/CSU.

Lest einfach mal den Artikel und streicht alle Stellen an, die Euch stutzig machen. Fertig? Dann findet Ihr hier und dort die Musterlösung.

Sicherheit muss zweitrangig sein, sonst steht sie im Weg

Seit zwei Jahrzehnten träumt Deutschland erfolglos davon, die elektrische Regierung, staatsnahe Systeme wie die Gesundheitstelematik sowie das Internet überhaupt dadurch zu fördern, dass man generische Sicherheitsdienste amtlich entwickelt, standardisiert und reguliert. Sichtbare Zeichen dafür sind das Signaturgesetz, die Gesundheitskarte, DE-Mail sowie die eID-Funktion des Personalausweises.

Gut funktioniert hat das in keinem dieser Fälle. Die elektronische Signatur ist so wenig verbreitet, dass man ein darauf gestütztes Verfahren für den elektronischen Entgelt-Nachweis (ELENA) einstellen musste. Die Gesundheitskarte kann nach mehr als einer Dekade Entwicklungszeit – die Gründung der gematik liegt länger zurück als der erste Spatenstich für BER – kaum mehr als ihre Vorgängerin. De-Mail ist im Gegensatz zum Vorgänger eID noch nicht im Stadium der Ideenwettbewerbe angekommen, leidet jedoch unter vergleichbaren Akzeptanzproblemen.

Gemeinsam ist diesen Fällen der Versuch, eine generische Sicherheitstechnologie für eine Vielzahl noch unbekannter Anwendungen zu schaffen in der Annahme, diese Sicherheitstechnologie sei genau das, was den Anwendungen fehle. Beides ist falsch. Wer mit der Sicherheitstechnologie anfängt, macht den Entwurfsprozess kaputt und bekommt Design around Security statt Security by Design, und Anwendungen müssen zuerst funktioneren, bevor man beginnt, ihre Sicherheit zu optimieren. Sicherheit muss zweitrangig sein, sonst steht sie im Weg weiterlesen

Crypto Wars 2.0: Let the Trolling Commence (and don’t trust your phone)

That was a nice bit of trolling. A rough timeline: (1) Apple and later, Google announce modest improvements to a security building block of their respective mobile device platforms, device encryption. (2) Government officials in the US publicly complain how this would obstruct law enforcement and request means to access encrypted device data. (3) The usual suspects are all up in arms and reiterate their arguments why crypto backdoors are a bad idea.

What is wrong with this debate, apart from it being a rerun? First, encryption is not as secure as claimed. Second, encryption is not as important as assumed.

Device encryption is just one small security building block. It protects data stored on the device against access without the encryption key if the adversary encounters the device in the turned-off state. Attacks against encryption typically go for the keys. As we were just reminded, police can compel suspects to hand over their fingerprints and unlock a device. Some countries have key disclosure laws.

Against running devices there are further attack options. If any key material is held in RAM, it can be extracted, at least in principle, with a cold boot attack. Whether Apple’s Secure Enclave design does anything to protect against such attacks remains unclear. As we’ve learned with Microsoft’s encryption scheme, Bitlocker, even hardware-supported encryption can leave a number of loopholes (Trust 2009 paper).

Encryption has its limitations. It protects data subject to several conditions. In particular, the adversary must be unable to obtain the key or subvert the execution environment. While plug-and-play forensics would be more convenient for law enforcement, there are ways around device encryption.

Mobile platforms extend beyond the individual device. Not only do devices communicate liberally with other devices and with Internet services, they also depend on the platform operator. Apple and Google run appstores and supply software updates. Whatever the software of a device can or cannot do may change at any time.

Encryption protects files against access bypassing the operating system, not against access from within. Protection against rogue users or applications is a matter of authentication and access control — software making decisions, software that can be modified. While this channel entails some tampering-with-evidence problems for law enforcement, it seems technically quite feasible to use it.

Encrypted equals secure only from a microscopic perspective. I have advocated before to pay more attention to systemic and macroscopic aspects, and the crypto wars 2.0 debate illustrates nicely how a too narrow focus on a single security mechanism skews our debate. Encryption matters, but not as much as we allow them to make us believe it would.